服务器安全配置教程.docx
- 文档编号:10793942
- 上传时间:2023-02-23
- 格式:DOCX
- 页数:40
- 大小:30.23KB
服务器安全配置教程.docx
《服务器安全配置教程.docx》由会员分享,可在线阅读,更多相关《服务器安全配置教程.docx(40页珍藏版)》请在冰豆网上搜索。
服务器安全配置教程
服务器基本安全配置
---做自已的安全,让别人去破吧
如果您的操作系统是Windows2003系统,请检查是否已经打了SP2以上补丁,同时更新所有系统补丁(可以使用360安全卫士等软件打补丁),并建议您打开系统自带防火墙,对端口进行过滤,只开放您的服务端口。
具体的端口关闭可以使用系统防火墙和组策略里面的本地安全策略。
关闭端口安全策略见第八部分。
根据对服务器的观察:
elsa(202.104.149.195)开放了一下端口:
TCP:
21/ftp80/http1366/netware-csp3389/cms-tern-serv
UDP:
53/domain161/snmp
根据自己的需求关闭不必要的端口。
同时对常用的远程控制端口3389进行修改。
(强烈推荐)
2003修改系统远程桌面连接端口的方法:
a、在运行里面输入:
”regedit”,进入注册表,然后找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp这一项。
b、找到“PortNumber”处,鼠标右键选择“修改”,选择十进制,换成你想修改的端口(范围在1024到65535)而且不能冲突,否则下次就无法正常启动系统了。
c、然后找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp。
d、在右侧找到”PortNumber处”。
注意,这次的端口要和上次修改的端口一致。
e、然后系统重新启动下,就可以用3389连接器远程连接操作了,3389连接器打开方法:
XP/2003下在运行里输入”mstsc”)即可。
连接的时候格式为:
IP:
修改后的端口。
如果您操作系统安装有SQLServer2000数据库,请检查是否已经打了SP4补丁,并为sa用户设置了密码
我们建议您更改Windows系统默认帐户Administrator的名称,并把管理员组成员用户名密码设置的尽量复杂;同时对账户设置密码策略。
详细情况见服务器安全设置之--本地安全策略设置
如果您的系统是Linux系列系统,我们建议您的root用户密码尽量复杂;如果通过SSH远程登录管理,我们建议您更改默认的22端口为其他端口。
同时登陆的的时候不要使用root账户,ssh登录后再su切换账户。
一,服务器安全设置之--系统服务篇(设置完毕需要重新启动)
*除非特殊情况非开不可,下列系统服务要■停止并禁用■:
Alerter
服务名称:
Alerter
显示名称:
Alerter
服务描述:
通知选定的用户和计算机管理警报。
如果服务停止,使用管理警报的程序将不会收到它们。
如果此服务被禁用,任何直接依赖它的服务都将不能启动。
可执行文件路径:
E:
\windows\system32\svchost.exe-kLocalService
其他补充:
ApplicationLayerGatewayService
服务名称:
ALG
显示名称:
ApplicationLayerGatewayService
服务描述:
为应用程序级协议插件提供支持并启用网络/协议连接。
如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:
\windows\System32\alg.exe
其他补充:
BackgroundIntelligentTransferService
服务名称:
BITS
显示名称:
BackgroundIntelligentTransferService
服务描述:
服务描述:
利用空闲的网络带宽在后台传输文件。
如果服务被停用,例如windowsUpdate和MSNExplorer的功能将无法自动下载程序和其他信息。
如果此服务被禁用,任何依赖它的服务如果没有容错技术以直接通过IE传输文件,一旦BITS被禁用,就可能无法传输文件。
可执行文件路径:
E:
\windows\system32\svchost.exe-knetsvcs
其他补充:
ComputerBrowser
服务名称:
服务名称:
Browser
显示名称:
显示名称:
ComputerBrowser
服务描述:
服务描述:
维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。
如果服务停止,列表不会被更新或维护。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
可执行文件路径:
E:
\windows\system32\svchost.exe-knetsvcs
其他补充:
DistributedFileSystem
服务名称:
Dfs
显示名称:
DistributedFileSystem
服务描述:
将分散的文件共享合并成一个逻辑名称空间并在局域网或广域网上管理这些逻辑卷。
如果这个服务被停止,用户则无法访问文件共享。
如果这个服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:
\windows\system32\Dfssvc.exe
其他补充:
HelpandSupport
服务名称:
helpsvc
显示名称:
HelpandSupport
服务描述:
启用在此计算机上运行帮助和支持中心。
如果停止服务,帮助和支持中心将不可用。
如果禁用服务,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:
\windows\System32\svchost.exe-knetsvcs
其他补充:
Messenger
服务名称:
Messenger
显示名称:
Messenger
服务描述:
传输客户端和服务器之间的NETSEND和警报器服务消息。
此服务与windowsMessenger无关。
如果服务停止,警报器消息不会被传输。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:
\windows\system32\svchost.exe-knetsvcs
其他补充:
NetMeetingRemoteDesktopSharing
服务名称:
mnmsrvc
显示名称:
NetMeetingRemoteDesktopSharing
服务描述:
允许经过授权的用户用NetMeeting在公司intranet上远程访问这台计算机。
如果服务被停止,远程桌面共享将不可用。
如果服务被禁用,依赖这个服务的任何服务都会无法启动。
可执行文件路径:
E:
\windows\system32\mnmsrvc.exe
其他补充:
PrintSpooler
服务名称:
Spooler
显示名称:
PrintSpooler
服务描述:
管理所有本地和网络打印队列及控制所有打印工作。
如果此服务被停用,本地计算机上的打印将不可用。
如果此服务被禁用,任何依赖于它的服务将无法启用。
可执行文件路径:
E:
\windows\system32\spoolsv.exe
其他补充:
RemoteRegistry
服务名称:
RemoteRegistry
显示名称:
RemoteRegistry
服务描述:
使远程用户能修改此计算机上的注册表设置。
如果此服务被终止,只有此计算机上的用户才能修改注册表。
如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:
\windows\system32\svchost.exe-kregsvc
其他补充:
TaskScheduler
服务名称:
Schedule
显示名称:
TaskScheduler
服务描述:
使用户能在此计算机上配置和计划自动任务。
如果此服务被终止,这些任务将无法在计划时间里运行。
如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:
\windows\System32\svchost.exe-knetsvcs
其他补充:
TCP/IPNetBIOSHelper
服务名称:
LmHosts
显示名称:
TCP/IPNetBIOSHelper
服务描述:
提供TCP/IP(NetBT)服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持,从而使用户能够共享文件、打印和登录到网络。
如果此服务被停用,这些功能可能不可用。
如果此服务被禁用,任何依赖它的服务将无法启动。
可执行文件路径:
E:
\windows\system32\svchost.exe-kLocalService
其他补充:
Telnet
服务名称:
TlntSvr
显示名称:
Telnet
服务描述:
允许远程用户登录到此计算机并运行程序,并支持多种TCP/IPTelnet客户端,包括基于UNIX和windows的计算机。
如果此服务停止,远程用户就不能访问程序,任何直接依赖于它的服务将会启动失败。
可执行文件路径:
E:
\windows\system32\tlntsvr.exe
其他补充:
Workstation
服务名称:
lanmanworkstation
显示名称:
Workstation
服务描述:
创建和维护到远程服务的客户端网络连接。
如果服务停止,这些连接将不可用。
如果服务被禁用,任何直接依赖于此服务的服务将无法启动。
可执行文件路径:
E:
\windows\system32\svchost.exe-knetsvcs
其他补充:
以上是windows2003server标准服务当中需要停止的服务,作为IIS网络服务器,以上服务务必要停止,如果需要SSL证书服务,则设置方法不同
二,服务器安全设置之--本地安全策略设置
安全策略自动更新命令:
GPUpdate/force(应用组策略自动生效不需重新启动)
开始菜单—>管理工具—>本地安全策略
A、本地策略——>审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问 失败
审核过程跟踪 无审核
审核目录服务访问 失败
审核特权使用 失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败
B、本地策略——>用户权限分配
关闭系统:
只有Administrators组、其它全部删除。
通过终端服务拒绝登陆:
加入Guests、User组
通过终端服务允许登陆:
只加入Administrators组,其他全部删除
C、本地策略——>安全选项
交互式登陆:
不显示上次的用户名 启用
网络访问:
不允许SAM帐户和共享的匿名枚举 启用
网络访问:
不允许为网络身份验证储存凭证 启用
网络访问:
可匿名访问的共享 全部删除
网络访问:
可匿名访问的命 全部删除
网络访问:
可远程访问的注册表路径 全部删除
网络访问:
可远程访问的注册表路径和子路径 全部删除
帐户:
重命名来宾帐户 重命名一个帐户
帐户:
重命名系统管理员帐户 重命名一个帐户
UI中的设置名称企业客户端台式计算机企业客户端便携式计算机高安全级台式计算机高安全级便携式计算机
帐户:
使用空白密码的本地帐户只允许进行控制台登录
已启用
已启用
已启用
已启用
帐户:
重命名系统管理员帐户
推荐
推荐
推荐
推荐
帐户:
重命名来宾帐户
推荐
推荐
推荐
推荐
设备:
允许不登录移除
已禁用
已启用
已禁用
已禁用
设备:
允许格式化和弹出可移动媒体
Administrators,InteractiveUsers
Administrators,InteractiveUsers
Administrators
Administrators
设备:
防止用户安装打印机驱动程序
已启用
已禁用
已启用
已禁用
设备:
只有本地登录的用户才能访问CD-ROM
已禁用
已禁用
已启用
已启用
设备:
只有本地登录的用户才能访问软盘
已启用
已启用
已启用
已启用
设备:
未签名驱动程序的安装操作
允许安装但发出警告
允许安装但发出警告
禁止安装
禁止安装
域成员:
需要强(windows2000或以上版本)会话****
已启用
已启用
已启用
已启用
交互式登录:
不显示上次的用户名
已启用
已启用
已启用
已启用
交互式登录:
不需要按CTRL+ALT+DEL
已禁用
已禁用
已禁用
已禁用
交互式登录:
用户试图登录时消息文字
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
此系统限制为仅授权用户。
尝试进行XX访问的个人将受到起诉。
交互式登录:
用户试图登录时消息标题
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
继续在没有适当授权的情况下使用是违法行为。
交互式登录:
可被缓存的前次登录个数(在域控制器不可用的情况下)
2
2
0
1
交互式登录:
在密码到期前提示用户更改密码
14天
14天
14天
14天
交互式登录:
要求域控制器身份验证以解锁工作站
已禁用
已禁用
已启用
已禁用
交互式登录:
智能卡移除操作
锁定工作站
锁定工作站
锁定工作站
锁定工作站
Microsoft网络客户:
数字签名的通信(若服务器同意)
已启用
已启用
已启用
已启用
Microsoft网络客户:
发送未加密的密码到第三方SMB服务器。
已禁用
已禁用
已禁用
已禁用
Microsoft网络服务器:
在挂起会话之前所需的空闲时间
15分钟
15分钟
15分钟
15分钟
Microsoft网络服务器:
数字签名的通信(总是)
已启用
已启用
已启用
已启用
Microsoft网络服务器:
数字签名的通信(若客户同意)
已启用
已启用
已启用
已启用
Microsoft网络服务器:
当登录时间用完时自动注销用户
已启用
已禁用
已启用
已禁用
网络访问:
允许匿名SID/名称转换
已禁用
已禁用
已禁用
已禁用
网络访问:
不允许SAM帐户和共享的匿名枚举
已启用
已启用
已启用
已启用
网络访问:
不允许SAM帐户和共享的匿名枚举
已启用
已启用
已启用
已启用
网络访问:
不允许为网络身份验证储存凭据或.NETPassports
已启用
已启用
已启用
已启用
网络访问:
限制匿名访问命名管道和共享
已启用
已启用
已启用
已启用
网络访问:
本地帐户的共享和安全模式
经典-本地用户以自己的身份验证
经典-本地用户以自己的身份验证
经典-本地用户以自己的身份验证
经典-本地用户以自己的身份验证
网络安全:
不要在下次更改密码时存储LANManager的哈希值
已启用
已启用
已启用
已启用
网络安全:
在超过登录时间后强制注销
已启用
已禁用
已启用
已禁用
网络安全:
LANManager身份验证级别
仅发送NTLMv2响应
仅发送NTLMv2响应
仅发送NTLMv2响应\拒绝LM&NTLM
仅发送NTLMv2响应\拒绝LM&NTLM
网络安全:
基于NTLMSSP(包括安全RPC)客户的最小会话安全
没有最小
没有最小
要求NTLMv2会话安全要求128-位加密
要求NTLMv2会话安全要求128-位加密
网络安全:
基于NTLMSSP(包括安全RPC)服务器的最小会话安全
没有最小
没有最小
要求NTLMv2会话安全要求128-位加密
要求NTLMv2会话安全要求128-位加密
故障恢复控制台:
允许自动系统管理级登录
已禁用
已禁用
已禁用
已禁用
故障恢复控制台:
允许对所有驱动器和文件夹进行软盘复制和访问
已启用
已启用
已禁用
已禁用
关机:
允许在未登录前关机
已禁用
已禁用
已禁用
已禁用
关机:
清理虚拟内存页面文件
已禁用
已禁用
已启用
已启用
系统加密:
使用FIPS兼容的算法来加密,哈希和签名
已禁用
已禁用
已禁用
已禁用
系统对象:
由管理员(Administrators)组成员所创建的对象默认所有者
对象创建者
对象创建者
对象创建者
对象创建者
系统设置:
为软件限制策略对windows可执行文件使用证书规则
已禁用
已禁用
已禁用
已禁用
三,服务器安全设置之--IP安全策略(仅仅列出需要屏蔽或阻止的端口或协议)
协议IP协议端口源地址目标地址描述方式
ICMP------ICMP阻止
UDP135任何IP地址我的IP地址135-UDP阻止
UDP136任何IP地址我的IP地址136-UDP阻止
UDP137任何IP地址我的IP地址137-UDP阻止
UDP138任何IP地址我的IP地址138-UDP阻止
UDP139任何IP地址我的IP地址139-UDP阻止
TCP445任何IP地址-从任意端口我的IP地址-445445-TCP阻止
UDP445任何IP地址-从任意端口我的IP地址-445445-UDP阻止
UDP69任何IP地址-从任意端口我的IP地址-6969-入阻止
UDP69我的IP地址-69任何IP地址-任意端口69-出阻止
TCP4444任何IP地址-从任意端口我的IP地址-44444444-TCP阻止
TCP1026我的IP地址-1026任何IP地址-任意端口灰鸽子-1026阻止
TCP1027我的IP地址-1027任何IP地址-任意端口灰鸽子-1027阻止
TCP1028我的IP地址-1028任何IP地址-任意端口灰鸽子-1028阻止
UDP1026我的IP地址-1026任何IP地址-任意端口灰鸽子-1026阻止
UDP1027我的IP地址-1027任何IP地址-任意端口灰鸽子-1027阻止
UDP1028我的IP地址-1028任何IP地址-任意端口灰鸽子-1028阻止
TCP21我的IP地址-从任意端口任何IP地址-到21端口阻止tftp出站阻止
TCP99我的IP地址-99任何IP地址-任意端口阻止99shell阻止
以上是IP安全策略里的设置,可以根据实际情况,增加或删除端口
四:
服务器安全设置之--IIS用户设置方法
IS安全访问的例子
IIS基本设置
这里举例4个不同类型脚本的虚拟主机权限设置例子
主机头主机脚本硬盘目录IIS用户名硬盘权限应用程序池主目录应用程序配置
HTMD:
\IUSR_Administrators(完全控制)
IUSR_(读)
可共用读取/纯脚本启用父路径
ASPD:
\IUSR_Administrators(完全控制)
IUSR_(读/写)可共用读取/纯脚本启用父路径
NETD:
\IUSR_Administrators(完全控制)
IWAM_(读/写)
IUSR_(读/写)独立池读取/纯脚本启用父路径
PHPD:
\IUSR_Administrators(完全控制)
IWAM_(读/写)
IUSR_(读/写)独立池读取/纯脚本启用父路径
其中IWAM_和IWAM_分别是各自独立应用程序池标识中的启动帐户
主机脚本类型应用程序扩展名(就是文件后缀名)对应主机脚本,只需要加载以下的应用程序扩展
HTMSTM|SHTM|SHTML|MDB
ASPASP|ASA|MDB
NETASPX|ASAX|ASCX|ASHX|ASMX|AXD|VSDISCO|REM|SOAP|CONFIG|
CS|CSPROJ|VB|VBPROJ|WebINFO|LICX|RESX|RESOURCES|MDB
PHPPHP|PHP3|PHP4
MDB是共用映射,下面用红色表示
应用程序扩展映射文件执行动作
STM=.stmC:
\windows\system32\inetsrv\ssinc.dllGET,POST
SHTM=.shtmC:
\windows\system32\inetsrv\ssinc.dllGET,POST
SHTML=.shtmlC:
\windows\system32\inetsrv\ssinc.dllGET,POST
ASP=.aspC:
\windows\system32\inetsrv\asp.dllGET,HEAD,POST,TRACE
ASA=.asaC:
\windows\system32\inetsrv\asp.dllGET,HEAD,POST,TRAC
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 服务器 安全 配置 教程